https://slinkov.ru/openforum/vsluhforumID6/21407.html Всем привет!<br><br>Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою очередь выходит через Cisco 2801 (через NAT) и при такой схеме на Cisco создаются тысячи динамических правил NAT для ISA из за чего происходим много интераптов и большая нагрузка CPU.<br><br>возможно есть метод указать один из внешних адресов чисто для ISA, чтобы динамические правила не создавались? пробовал статический NAT сделать для ISA - всё равно создаёт динамические правила...<br><br>Help ;)<br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#7 Tue, 03 Aug 2010 20:59:00 GMT Ну чего сказать.. <br>Железка работает, как умеет ;) <br>Ищите альтернативу...<br>1.Либо Кошка "по-жирнее"....<br>Кстати, если телефонии нет, то можно использовать серию 1ХХХ<br>2. Либо вариант с "выставлением наружу" <br>3. Либо, что то, типа микротика.....<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#6 Tue, 03 Aug 2010 14:34:11 GMT Никакое железо имеющее доступ во внутреннюю сеть напрямую НЕЛЬЗЯ(!!!!!!!!) выставлять напрямую в Инет, именно для этого куча умных людей придумали всякие DMZ, SAFE и т.п.<br>По теме: заменяйте маршрутизатор или договаривайтесь с провайдером (или еще с кем во внешнем мире), чтобы связать Ваш и их прокси либо туннелем, либо перенаправлением запросов (родительский/дочерний прокси). В данном случае будет одна сессия, но мне кажется не спасет это - железо слабое.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#5 Tue, 03 Aug 2010 11:43:25 GMT &gt;[оверквотинг удален]<br>&gt;Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет <br>&gt;выставлять. <br>&gt;<br>&gt;--- <br>&gt;<br>&gt;Трафик примерно следующий: в пиках на отправку 9 мегабит (удалённые филиалы по <br>&gt;vpn), на приём 6 мегабит (я так понимаю интернет). <br>&gt;<br>&gt;И ещё важное уточнение: CISCO 2811 (не 2801 как я вначале написал) <br>&gt;+ включен Netflow. <br><br>При правильной настройке ISA можете ее совершенно спокойно выставлять в Инет. 2801 не вытянет, если Вы еще захотите что то публиковать в Инет или организовать удаленный доступ.<br>Все будет нормально, правильно настройте на исе файервол и будет Вам счастье.<br><br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#4 Tue, 03 Aug 2010 06:31:44 GMT &gt;<br>&gt;&gt;Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет <br>&gt;&gt;выставлять. <br>&gt;<br>&gt;А пробовали на циске НАТ настраивать на пул адресов вместо одного? <br><br>Нет. А это как нибудь может повлиять на загрузку?<br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#3 Tue, 03 Aug 2010 05:51:36 GMT <br>&gt;Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет <br>&gt;выставлять. <br><br>А пробовали на циске НАТ настраивать на пул адресов вместо одного?<br><br> https://slinkov.ru/openforum/vsluhforumID6/21407.html#2 Tue, 03 Aug 2010 05:35:31 GMT LBZ-RTR1#sh proc c s &#124; e 0.0<br>CPU utilization for five seconds: 94%/66%; one minute: 86%; five minutes: 84%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 103 96052248 38651363 2485 26.77% 22.61% 21.67% 0 IP Input<br> 278 2964968 5939439 499 0.41% 0.34% 0.34% 0 IP SLAs Event Pr<br> 43 1247440 941698 1324 0.24% 0.23% 0.24% 0 Per-Second Jobs<br> 18 2100344 3614634 581 0.16% 0.15% 0.14% 0 ARP Input<br><br>---<br><br>LBZ-RTR1#sh proc c s &#124; e 0.0<br>CPU utilization for five seconds: 68%/54%; one minute: 84%; five minutes: 84%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 103 96058828 38652643 2485 11.71% 20.83% 20.35% 0 IP Input<br> 109 864 114 7578 0.98% 0.39% 0.11% 514 SSH Process<br> 278 2965128 5939546 499 0.40% 0.35% 0.35% 0 IP SLAs Event Pr<br> 280 1793564 1799181 996 0.24% 0.13% 0.12% 0 IP SNMP<br> 43 1247560 941714 https://slinkov.ru/openforum/vsluhforumID6/21407.html#1 Mon, 02 Aug 2010 17:26:05 GMT &gt;Всем привет! <br>&gt;<br>&gt;Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою <br>&gt;очередь выходит через Cisco 2801 (через NAT) и при такой схеме <br>&gt;на Cisco создаются тысячи динамических правил NAT для ISA из за <br>&gt;чего происходим много интераптов и большая нагрузка CPU. <br><br>Дежавю ;) <br>Ну, во первых, трафик какой?<br><br>Во, вторых, на Кошке, дайте команду sh proc c s &#124; e 0.0<br>Что кажет ?<br><br><br>&gt;<br>&gt;возможно есть метод указать один из внешних адресов чисто для ISA, чтобы <br>&gt;динамические правила не создавались? пробовал статический NAT сделать для ISA - <br>&gt;всё равно создаёт динамические правила... <br><br>Ну, извините ;) NAT по другому не умеет <br><br>А сколько адресов пров дает?<br><br>&gt;<br>&gt;Help ;)